vitalix
Пользователь
Вот ты то точно. Сам себе противоречешь. Нет трафика с яндекса и тут же скрин прикладываешь об отрицательном.
vitalix
Пользователь
Protektor
Пользователь
У меня от этой темы уже на посте хлама полно!!)))
Я А+ за 10 минут сделал.
расписывать не буду все вот статья
делаем как написано, естественно пути свои и max-age минимум пол года ставим (ставил 3 месяца вместо а+ было а)
связка nginx+php-fpm
Я А+ за 10 минут сделал.
server {
listen ip сервера:443 ssl spdy;
server_name сайт.ру
resolver 127.0.0.1;
ssl_stapling on;
ssl on;
ssl_certificate /home/admin/conf/web/ssl.сайт.ру.pem;
ssl_certificate_key /home/admin/conf/web/ssl.сайт.ру.key;
ssl_dhparam /home/admin/conf/web/dhparam.pem;
ssl_session_timeout 24h;
ssl_session_cache shared:SSL:10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DESES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2;
ssl_prefer_server_ciphers on;
add_header Strict-Transport-Security "max-age=31536000;";
add_header Content-Security-Policy-Report-Only "default-src https:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsafe-inline'; img-src https: data:; font-src https: data:; report-uri /csp-report";
listen ip сервера:443 ssl spdy;
server_name сайт.ру
resolver 127.0.0.1;
ssl_stapling on;
ssl on;
ssl_certificate /home/admin/conf/web/ssl.сайт.ру.pem;
ssl_certificate_key /home/admin/conf/web/ssl.сайт.ру.key;
ssl_dhparam /home/admin/conf/web/dhparam.pem;
ssl_session_timeout 24h;
ssl_session_cache shared:SSL:10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES
ES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2;ssl_prefer_server_ciphers on;
add_header Strict-Transport-Security "max-age=31536000;";
add_header Content-Security-Policy-Report-Only "default-src https:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsafe-inline'; img-src https: data:; font-src https: data:; report-uri /csp-report";
делаем как написано, естественно пути свои и max-age минимум пол года ставим (ставил 3 месяца вместо а+ было а)
связка nginx+php-fpm
Dr_Brown
Пользователь
Директивы которые я использовал для настройке ssl на nginx:
В раздел http: (именно в нем отключилась поддержка sslV3)
ssl_ciphers - можно взять в /ect/letsencrypt/options-ssl-apache.conf - там должен быть конфиг для чистого апача: параметр из SSLCipherSuite копируем 1 к одному.
В раздел server по вашему домену:
Для усиления криптостойкости необходимо использовать файл параметров Диффи — Хеллмана с длиной не менее 2048 бит. Создадим такой файл и положим в папку с сертификатами по SSH:
add_header Strict-Transport-Security - не знаю надо ли?? но оставил на всякий пожарный.
Ну и как писалось выше не забываем про директиву в Apache2:
как писалось выше. у меня связка nginx+apache
В раздел http: (именно в нем отключилась поддержка sslV3)
ssl_prefer_server_ciphers on;
ssl_session_cache shared:TLS:2m;
ssl_session_timeout 2m;
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
ssl_ciphers kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DESES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2;ssl_ciphers - можно взять в /ect/letsencrypt/options-ssl-apache.conf - там должен быть конфиг для чистого апача: параметр из SSLCipherSuite копируем 1 к одному.
В раздел server по вашему домену:
listen 91.234.34.162:443 ssl;
ssl_certificate /var/www/httpd-cert/dr_brown/sovtorcom1.chained.crt;
ssl_certificate_key /var/www/httpd-cert/dr_brown/sovtorcom1.key;
ssl_dhparam /var/www/httpd-cert/dr_brown/dh2048.pem;
add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains';Для усиления криптостойкости необходимо использовать файл параметров Диффи — Хеллмана с длиной не менее 2048 бит. Создадим такой файл и положим в папку с сертификатами по SSH:
openssl dhparam -out /var/www/httpd-cert/dr_brown/dh2048.pem 2048add_header Strict-Transport-Security - не знаю надо ли?? но оставил на всякий пожарный.
Ну и как писалось выше не забываем про директиву в Apache2:
SetEnvIf X-Forwarded-Proto https HTTPS=onкак писалось выше. у меня связка nginx+apache
Последнее редактирование: